セキュリティ研究者が、Anthropic Claude Code・Google Gemini CLI・GitHub Copilot Agentの主要3製品に共通する深刻な脆弱性を発見・公開しました。GitHubのプルリクエスト(PR)タイトルやIssueコメントに悪意ある命令を埋め込むだけで、AIエージェントがその命令を実行してAPIキーやGitHubトークンを攻撃者のサーバーへ送信するというもので、AnthropicはCVSS(共通脆弱性評価システム)で9.4(クリティカル)と評価しています。この攻撃手法は「Comment and Control」と命名されています。
VentureBeatの報告によると、この脆弱性の特徴は外部サーバーや追加ツールを一切必要とせず、GitHub内で攻撃が完結する点です。つまり、悪意あるユーザーがOSSプロジェクトにコメントを投稿するだけで、コードレビューや自動化タスクにAIエージェントを利用している開発者のシークレット情報が漏洩する可能性があります。この問題はプロンプトインジェクション(prompt injection)の一種であり、AIモデルが「信頼できるシステム命令」と「外部入力データ」を区別できないという根本的な限界を突いたものです。
r/netsecでは「外部サーバーなしでGitHub内だけで攻撃が完結する点が深刻」との分析が注目を集め、CIパイプラインでのAIエージェント利用を見直すべきという声が急増しています。X上でも「信頼できるコンテキストと攻撃者の命令を区別できないのがAIエージェントの根本的欠陥」との指摘が拡散し、セキュリティ研究者からは「予告されていた問題がついに現実に」という反応が多く見られました。Hacker Newsでは「CVEすら発行されていない」という開示の不透明さへの批判が集中し、エージェントが本番シークレットと同じランタイムで動く設計自体を根本から問い直す議論が展開されています。
AIエージェントをCI/CDパイプラインやコードレビューに活用している組織にとって、今回の発見は即座に対応が必要な問題です。当面の対策としては、AIエージェントが参照できるシークレットの範囲を最小化し、PRやIssueからの入力を「信頼できないデータ」として扱うアーキテクチャ設計が求められます。エージェントAIのセキュリティは、モデルの能力向上とともに最重要課題となってきています。